Twitter victime d'une attaque
Ayant entrainé l'accès à 250 000 comptes, plusieurs grands sites de médias également touchés

Le , par Hinault Romaric, Responsable Actualités
Twitter, le célèbre site de micro-blogging, a été victime d’une attaque en fin de semaine dernière.

Selon le billet de blog de Bob Lord, directeur de la sécurité chez Twitter, son équipe a détecté des accès inhabituels la semaine dernière qui, après analyse, se sont révélés être une attaque directe vers la plateforme.

Bien que l’attaque ait été rapidement bloquée, les assaillants auraient eu accès aux données confidentielles de 250 000 utilisateurs, notamment les mots de passe, les noms d’utilisateurs et les adresses mail.

Par mesure de précaution, les mots de passe de ces comptes ont été réinitialisés, malgré qu’ils fussent cryptés. Les possesseurs des comptes affectés devraient recevoir un mail les invitant à renseigner un nouveau mot de passe. Twitter recommande aux utilisateurs de définir des mots de passe complexes, d’au moins dix caractères (chiffres et lettres).

Pour Bob Lord, cette attaque pourrait faire partie d’une campagne sophistiquée, ciblant les grands sites de médias : « Cette attaque n’était pas l’œuvre d’amateurs et nous ne croyons pas qu’il s’agissait d’un incident isolé. Les assaillants étaient extrêmement sophistiqués et nous pensons que d’autres organisations ont été également attaquées récemment de façon similaire », note celui-ci.

Le directeur de la sécurité de Twitter cite par exemple les récentes attaques contre le New York Times et le Wall Street Journal.

Sans toutefois établir un lien entre les failles Java et cette attaque, Bob Lord évoque également les vulnérabilités du langage de développement pouvant être exploitées via le navigateur et conseille aux utilisateurs de désactiver le plug-in Java.

Source : Blog Twitter

Et vous ?

Que pensez-vous de cette attaque ? Existe-t-il un lien avec les vulnérabilités Java ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 04/02/2013 14:38
Java a le bon dos et est meme maintenant responsable de la faible sécurité des sites Américains.
Avatar de benjani13 benjani13
http://www.developpez.com
Membre chevronné
le 04/02/2013 19:18
Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

Ou est-ce juste une démonstration de force?
Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 04/02/2013 22:12
Citation Envoyé par benjani13  Voir le message
Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

Ou est-ce juste une démonstration de force?

Ils ont déja obtenu pleins d'adresses emails valides (qui se revendent) et surtout sont maintenant capables de lier les informations sur Twitter avec la personne.
Exemple: Facebook a fait un nouveau moteur de recherche, a mon avis ils seraient intéressé d'avoir la liste des emails/hashtage. Si l'email correspond a un de leur utilisateur, il leur est ensuite simple d'obtenir toutes ses informations sur Twitter et d'ainsi améliorer ses publicités ciblées et son Social Search flambant neuf.

Tu as raison c'est aussi une démonstration de force, du genre "on est largement meilleur que vous" et "on va vous apprendre notre facon de traiter avec nous".
A ce jour les attaques sont mises sur le dos d'un groupe n'appartenant pas au gouvernement et il est donc difficile d'accuser le gouvernement.
D'ailleurs qui nous dit que ce sont les Chinois qui hackent les USA (et pas un autre gouvernement qui envoie ses attaques depuis des réseaux chinois), n'est-ce pas plutot une simple invention purement politique et se fansant passer pour des victimes (les USA des victimes ce serait leur comble). Peut-etre que l'Iran pourrait nous éclairer a ce sujet a propos des Stuxnet, Flame et compagnie.
Les Américains essaient d'éviter de perdre leur monopole technologique qui rapporte beaucoup au pays, et meme n'hésitent pas a "acheter" la France (c'est ce que la presse, dont Américaine, juge l'accord entre Google et notre Presse) et d'autres pays.
La roue tourne et ils vont devoir s'y habituer.
En tout cas vaste débat, mais Oracle (Sunn) n'est pas responsable des déboires des USA et des manoeuvres politiques.
Avatar de matios matios
http://www.developpez.com
Futur Membre du Club
le 04/02/2013 22:37
Citation Envoyé par alex_vino  Voir le message
Exemple: Facebook a fait un nouveau moteur de recherche, a mon avis ils seraient intéressé d'avoir la liste des emails/hashtage. Si l'email correspond a un de leur utilisateur, il leur est ensuite simple d'obtenir toutes ses informations sur Twitter et d'ainsi améliorer ses publicités ciblées et son Social Search flambant neuf.

Peut-être que c'est Facebook (des employés) qui ont fait (participé) à cette attaque...
Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 04/02/2013 23:12
Sachant que ces entreprises profitent des paradis fiscaux pour ne pas payer de taxe ils pourraient utiliser cet argent venant des contribuables (comme on compense en payant ce qu'ils ne paient pas) pour investir en sécurité.

Citation Envoyé par matios  Voir le message
Peut-être que c'est Facebook (des employés) qui ont fait (participé) à cette attaque...

C'est comme le premier homme sur la lune (ou plus récent les attentats du 11 septembre / Pentagone), la vérité on ne la saura peut-etre jamais.
D'ailleurs je recherche toujours la photo du corps de Ben Laden...
Avatar de rt15 rt15
http://www.developpez.com
Membre éprouvé
le 05/02/2013 12:02
Citation Envoyé par benjani13  Voir le message
Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

Ou est-ce juste une démonstration de force?

En 2013, une adresse mail valide a un prix.
C'est acheté par les boîtes qui spamment.

Ensuite, une adresse mail valide et un mot de passe twitter c'est encore plus cher.
Car le mot de passe twitter est peut être le même que celui de l'adresse mail.
Et il y a tout un tas de gens qui sont prêts à acheter ça pour vérifier si le mot de passe est le même pour aller consulter des boîtes mails au hasard, car on peut y trouver des informations qui peuvent rapporter elles même de l'argent (Compte et mot de passe pour des sites marchands à la amazon par exemple).
On peut aussi ne serait ce que récupérer la liste des contact de la personne -> Nouvelles adresses mails valide valant elle même de l'argent.

Bref, d'un point de vue cyber-criminalité, c'est un très bon coup.
Mais peut être que c'est une démonstration de force et que les informations ne seront pas vendues ou utiliser ? Difficile de deviner sans revendication.

Mais bon concernant les mots de passes, tout dépend de la qualité du "encrypted". Je suppose qu'ils ont voulu dire hashed d'ailleurs.
Offres d'emploi IT
Développeur embarqué open source h/f
CDI
CDS SOFT, pôle IT du groupe STUDIEL - Provence Alpes Côte d'Azur - Sophia Antipolis
Parue le 13/10/2014
Développeur web zend
Alternance
IP-FORMATION - Rhône Alpes - Lyon (69000)
Parue le 27/10/2014
Administrateur Google Apps/Développeur Google Apps Engine - Paris (H/F)
CDI
Synchrone technologies - Ile de France - Paris
Parue le 30/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula